se2.4patch机器码成功,制作补丁无效,运行补丁程序直接retn
求助se2.4patch机器码成功,制作补丁无效,运行补丁程序直接retn求助补丁制作错误
前面发的贴子由于自己太敷衍被撤下来了
给管理说声抱歉,(审核)辛苦啦!
杀毒网查杀日志 http://r.virscan.org/language/zh-cn/report/5b842064d7b1461a75c32ae084511e83
文件名 se2.4_patch_files.rar
MD5 : a3e74735054ea6fe93fb558c619ca354
SHA1 : e2f2aea04e4186c21631cd1de3bf0056471cf98e
火绒查杀图
static/image/hrline/line9.png
se2.4机器码具体patch图
图一:
和其他se版本貌似没有什么区别!
疑惑1:载入OD程序停在call上,貌似其他的本版都停在jmp上
图二:
二进制搜索windows api 函数 RegQueryValueEXA
Ctrl+B Ctrl+L两次找到:
00D9463F > \E8 11000000 CALL 00D94655 ;PUSH ASCII "RegQueryValueExA"
00D94644 .52 65 67 51 7>ASCII "RegQueryV"
00D9464D >61 POPAD
00D9464E 6C DB 6C ;CHAR 'l'
00D9464F 75 DB 75 ;CHAR 'u'
00D94650 65 DB 65 ;CHAR 'e'
00D94651 45 DB 45 ;CHAR 'E'
00D94652 78 DB 78 ;CHAR 'x'
00D94653 41 DB 41 ;CHAR 'A'
00D94654 .00 ASCII 0
00D94655 >^ E9 78FCFFFF JMP 00D942D2 \\此处跟随 一直跟到retn处
00D9465A >57 PUSH EDI ;ntdll.7C930228
00D9465B .E9 BD000000 JMP 00D9471D
图三:
00D94274 > \61 POPAD
疑惑2:00D94275 \\ 此处可否作为se_jmp_addr=00D94275
00D94275 .FF4424 08 INC DWORD PTR SS: ;WolServe.00E2CD11
-------------------------------寄存器信息--------------------------------
EAX 0012E4D0 ASCII "SystemBiosVersion" \\SBV_ADDR=0012E4D0
——————————————————————————————————————
00D94279 .9D POPFD
00D9427A .C3 RETN
图四:
EAX 0012E4D0 ASCII "SystemBiosVersion"
\\SBV_ADDR=0012E4D0
\\ SN_ADDR=0012E50C
偏移SN_ADDR=0012E50C-SBV_ADDR=0012E4D0=0x3c
跟随到数据窗口在0012E527下硬件写入断点
图五:
0012e527 下硬件断点 F9 两次 出现本机机器码,替换KEY文件对应的机器码 删除硬件断点F9运行
HEX:d7e2cab500082000c2060200008dfc04a07d060773175cc3946133af
D7 E2 CA B5 00 08 04 00 E3 06 05 00 00 01 02 03 04 05 06 07 4B 1F DF ED 54 45 DF FD
图六:
patch机器码程序跑起来
static/image/hrline/4.gif
生产补丁
se_jmp_addr=00D94275
se_call_addr=00E0E643
SBV_ADDR=0012E4D0
SN_ADDR=0012E50C
偏移SN_ADDR=0012E50C-SBV_ADDR=0012E4D0=0x3c
F9 两次胸出现机器码删除断点,删除分析,程序停在\\00E0E611 E8 2D000000 CALL 00E0E643
找最近的jmp\\00E0E643 E9 95000000 JMP 00E0E6DD
00E0E611 E8 2D000000 CALL 00E0E643
00E0E616 BD 3CAE6A3C MOV EBP, 0x3C6AAE3C
00E0E61B 5D POP EBP ; WolServe.00D88726
00E0E61C 087A 6E OR BYTE PTR DS:, BH
00E0E61F 5C POP ESP ; WolServe.00D88726
00E0E620 9B WAIT
00E0E621 F8 CLC
00E0E622 D219 RCR BYTE PTR DS:, CL
00E0E624 3A69 88 CMP CH, BYTE PTR DS:
00E0E627 2B8D 9C24CE00 SUB ECX, DWORD PTR SS:
00E0E62D 0000 ADD BYTE PTR DS:, AL
00E0E62F 66:8B1C24 MOV BX, WORD PTR SS:
00E0E633 9C PUSHFD
00E0E634 66:871C24 XCHG WORD PTR SS:, BX
00E0E638 66:8B5C24 03 MOV BX, WORD PTR SS:
00E0E63D 877424 04 XCHG DWORD PTR SS:, ESI
00E0E641^ EB A5 JMP SHORT 00E0E5E8
00E0E643 E9 95000000 JMP 00E0E6DD
补丁的源码程序论坛里面的,E语言源码
补丁运行程序直接retn
或者是提示机器码错误
再或者提示内部错误
最后附上程序下载地址链接:https://pan.baidu.com/s/1jQfDZTGnarwQFkBMcWfopA 密码:limk
直接脱了就好 不过好像缺少文件 有几个菜单打不开
山寨key稳定点! Snake丨顔 发表于 2018-8-1 23:32
山寨key稳定点!
用脚本跑出来就一个文件,RandKey.bin,另一个文件没有 ! 补丁path时机不对,在载入内核前就要挂载path,否则无效。 leave 发表于 2018-8-2 00:17
直接脱了就好 不过好像缺少文件 有几个菜单打不开
就怕脱壳程序会报错,所以没有尝试,还有就是没有这个能力脱壳
xxhaishixx 发表于 2018-8-2 01:33
补丁path时机不对,在载入内核前就要挂载path,否则无效。
不是很懂!我也是现学的hook leave 发表于 2018-8-2 00:17
直接脱了就好 不过好像缺少文件 有几个菜单打不开
这个脱壳和2.3.9一样么? 原来的E语言补丁是通用的,只是原作者在计算地址时候用套用的是公式,把地址写成常量就Ok leave 发表于 2018-8-1 19:28
直接脱了就好 不过好像缺少文件 有几个菜单打不开
脱壳的版本能给我 试试不,hook机器码了 功能不完整